Contract
II delen: Villkoren för behandling av personuppgifter
1. Allmänt
1.1. Denna avtalsbilaga ”Villkoren för behandling av personuppgifter” är en beståndsdel av det öm- sesidiga avtalet mellan Lovisa och Borgå städer och Sibbo och Askola kommuner om ordnande av löneadministration, rådgivning och handledning i arbetsgivarmodellen för personlig assi- stans, nedan ”avtalet” som beställaren har ingått med tjänsteproducenten.
1.2. I denna avtalsbilaga definieras de avtalsvillkor om behandling av personuppgifter och data- skydd som förbinder beställaren och tjänsteproducenten och enligt vilka tjänsteproducenten på beställarens uppdrag behandlar personuppgifter på beställarens vägnar. För tjänsteprodu- centens åtgärder och skyldigheter som beskrivs i dessa villkor betalas ingen separat ersättning, om inte något annat har avtalats i dessa villkor.
2. Parternas roller i behandlingen av personuppgifter
2.1. När personuppgifter behandlas är beställaren personuppgiftsansvarig och tjänsteproducenten personuppgiftsbiträde (nedan också ”biträde”), om inte något annat föranleds av syftet med behandlingen av personuppgifter. Med ”beställarens personuppgifter” avses i dessa villkor per- sonuppgifter som beställaren svarar för i egenskap av personuppgiftsansvarig.
2.3. Om en beskrivning av behandlingsåtgärder som avses i punkt 2.2 inte har gjorts eller om den är bristfällig, utarbetar eller kompletterar beställaren beskrivningen av behandlingsåtgärderna vid behov i samarbete med tjänsteproducenten.
3. Tjänsteproducentens allmänna skyldigheter
3.1. Tjänsteproducenten behandlar personuppgifter enligt avtalet och anvisningar som beställaren ger. Om biträdet är en gruppering, gäller skyldigheterna i denna avtalsbilaga alla medlemmar i grupperingen och de underleverantörer som grupperingen anlitar och som deltar i behand- lingen av personuppgifter.
3.2. Tjänsteproducenten vidtar behövliga tekniska och organisatoriska åtgärder med vilka den ser till att behandlingen av beställarens personuppgifter sker enligt kraven i avtalet och överens- kommen praxis. Syftet med åtgärderna är att säkerställa en lagenlig behandling av personupp- gifter samt behandlingsystemens och tjänsternas förtrolighet, enhetlighet, tillgång och feltole- rans.
3.3. Tjänsteproducenten varken behandlar eller på något annat sätt utnyttjar de personuppgifter som den enligt avtalet behandlar än det som behövs och i den utsträckning för att avtalet full- följs.
3.4. Tjänsteproducenten utser ett dataskyddsombud eller en kontaktperson ansvarig för dataskyd- det för kontakter som gäller beställarens personuppgifter. Tjänsteproducenten meddelar data- skyddsombudets eller kontaktpersonens kontaktuppgifter skriftligen till beställaren.
3.5. På beställarens begäran gör tjänsteproducenten till beställaren tillgängliga alla uppgifter som beställaren behöver för att kunna påvisa att alla skyldigheter som ankommer på den person- uppgiftsansvarige och tjänsteproducenten fullföljs, och deltar på begäran på avtalat sätt i upp- rättande och dokumentföring av beskrivningar och andra dokument såsom konsekvensbedöm- ningar, och utförande av förhandssamråd som avses i dataskyddsförordningen. Tjänsteprodu- centen utför dessa uppdrag enligt priser i avtalet, om inte något annat avtalas.
3.6. Tjänsteproducenten underrättar beställaren omedelbart om alla begäranden från de registre- rade som gäller utövande av den registrerades rättigheter. Tjänsteproducenten besvarar inte själv dessa begäranden. Tjänsteproducenten bistår beställaren för att beställaren kan uppfylla sin skyldighet att besvara dessa begäranden. Begäranden kan förutsätta att tjänsteproducen- ten t.ex. bistår i informeringen till och kommunikationen med den registrerade, verkställande av den registrerades åtkomsträtt, rättelse eller radering av personuppgifter, genomförande av begränsning av behandlingen eller överföring av den registrerades egna personuppgifter från ett system till ett annat. Om inte något annat har avtalats, har tjänsteproducenten rätt att av beställaren fakturera priser som anges i avtalet, om biståendet medför tjänsteproducenten ex- tra kostnader. Tjänsteproducenten är skyldig att på förhand underrätta beställaren om even- tuella extra kostnader som kan uppstå.
3.7. Tjänsteproducenten tillåter inspektioner som beställaren eller en av den befullmäktigad audi- tör utför och deltar i dem. Närmare villkor om inspektionsförfarande finns i avtalet.
4. Beställarens anvisningar
4.1. Tjänsteproducenten iakttar i behandlingen av beställarens personuppgifter de villkor som anges i avtalet och dessa specialvillkor samt beställarens skriftliga anvisningar. Beställaren sva- rar för att anvisningarna hålls aktuella och tillgängliga. Tjänsteproducenten meddelar omedel- bart till beställaren, om anvisningarna som beställaren ger är bristfälliga eller om tjänsteprodu- centen misstänker dem vara lagstridiga.
4.2. Beställaren har rätt att ändra, komplettera och uppdatera anvisningar om behandlingen av per- sonuppgifter och om dataskyddet som den har gett till tjänsteproducenten. Om ändringarna i anvisningarna medför andra än små ändringar i de avtalsenliga tjänsterna, avtalas det om deras verkning i ett avtalsenligt förfarande för hantering av ändringar.
5. Servicepersonalen
5.1. Tjänsteproducenten säkerställer att alla dess medarbetare som har rätt att behandla beställa- rens personuppgifter har förbundit sig till att iaktta de sekretessvillkor som anges i avtalet eller att medarbetarna omfattas av lagstadgad sekretessplikt.
5.2. Tjänsteproducenten säkerställer att var och en av dess medarbetare som har tillgång till bestäl- larens personuppgifter är medveten om sina skyldigheter som gäller behandling av personupp- gifter och behandlar dem endast enligt avtalet, dessa särskilda villkor och beställarens anvis- ningar.
6. Underleverantörer som behandlar personuppgifter
6.1. I den utsträckning som tjänsteproducenten i sin verksamhet anlitar underleverantörer som be- handlar personuppgifter, tillämpas det på underleveransen vid sidan av avtalet de villkor som anges i denna avtalsbilaga.
6.2. Om en underleverantör till tjänsteproducenten behandlar beställarens personuppgifter, förut- sätter anlitande av underleverantör ett skriftligt tillstånd som beställaren på förhand har gett.
6.3. Tjänsteproducenten ingår med underleverantören ett skriftligt avtal som förpliktar underleve- rantörerna att för sin del iaktta de skyldigheter som hör till tjänsteproducenten och av bestäl- laren givna gällande anvisningar om behandling av personuppgifter. Tjänsteproducenten säker- ställer att beställarens kontrollrätt som nämns i avtalet kan utvidgas till underleverantören.
6.4. Tjänsteproducenten svarar för den anlitade underleverantörens andel såsom för sin egen an- del. Tjänsteproducenten svarar för att underleverantören för sin del iakttar de skyldigheter som ankommer på personuppgiftsbiträdet. Om beställaren på en grundad anledning anser att en underleverantör till tjänsteproducenten inte uppfyller sina dataskyddsskyldigheter, har bestäl- laren rätt att kräva att tjänsteproducenten byter underleverantör.
6.5. Beställaren ska på förhand underrättas om byte av en underleverantör som deltar i behand- lingen av personuppgifter. I underrättelsen ska det berättas hur underleverantören behandlar beställarens personuppgifter enligt dataskyddslagstiftningen. Beställaren har på en grundad anledning rätt att motsätta sig en föreslagen underleverantör.
7. Plats för tjänsten
7.1. Om det inte har avtalats annat om var tjänsten ska produceras, har tjänsteproducenten rätt att behandla beställarens personuppgifter endast i Europeiska ekonomiska samarbetsområdet. Vad som i avtalet och dessa särskilda villkor avtalas om behandling av personuppgifter gäller också möjliggörande av tillgången till beställarens personuppgifter t.ex. via en administrations- och kontrollförbindelse.
7.2. Om avtalsparterna avtalar att tjänsteproducenten får överföra personuppgifter utanför Euro- peiska ekonomiska samarbetsområdet, sörjer avtalsparterna för att överföringen av personal- uppgifterna sker enligt lagstiftningen.
8. Personuppgiftsincidenter
8.1. Tjänsteproducenten ska skriftligen utan ogrundad fördröjning underrätta beställaren om en personuppgiftsincident som tjänsteproducenten har fått kännedom om. Dessutom förbinder sig tjänsteproducenten att utan ogrundad fördröjning underrätta beställaren om övriga fel- el- ler problemsituationer i tjänsten som kan ha konsekvenser för de registrerades ställning och rättigheter.
8.2. Tjänsteproducenten ska ge beställaren åtminstone följande uppgifter om personuppgiftsinci- denten:
i. en beskrivning av den inträffade personuppgiftsincidenten, inklusive registrerade grupper och uppskattade antalen samt grupperna av typer av personuppgifter och uppskattade antalen med den exakthet som det finns kännedom om dessa,
ii. namn och kontaktuppgifter av den personuppgiftsansvarige eller annan ansvarig person som kan ge ytterligare information,
iii. en beskrivning av personuppgiftsincidentens sannolika konsekvenser, och
iv. en beskrivning av åtgärder som tjänsteproducenten föreslår eller redan har vidtagit med anledning av personuppgiftsincidenten, och vid behov åtgärder för att mildra dess potentiella negativa effekter.
8.3. Efter att ha upptäckt en personuppgiftsincident ska tjänsteproducenten ofördröjligen vidta de åtgärder om vilka det avtalas i avtalet för att avhjälpa personuppgiftsincidenten och för att be- gränsa och korrigera dess effekter.
9. Avslutning av behandling av personuppgifter
9.1. Under avtalets giltighetstid får tjänsteproducenten inte utan beställarens uttryckliga begäran radera personuppgifter som den behandlar för beställarens räkning.
9.2. När avtalet löper ut eller hävs återlämnar tjänsteproducenten till beställaren alla personupp- gifter som har behandlats på beställarens vägnar och förstör eventuella kopior på sina egna volymer, om inte annat har avtalats. Uppgifter får inte raderas, om det i lagstiftningen eller genom myndighetens bestämmelse har förutsatts att tjänsteproducenten ska förvara person- uppgifterna.
BESKRIVNING AV BEHANDLINGSÅTGÄRDER
1. Parter
Beställare: Borgå stad, Lovisa stad, Askola kommun Tjänsteproducent: Sibbo kommun
2. Syftet med dokumentet
Beställaren har med tjänsteproducenten ingått ett avtal som gäller en sådan tjänst där tjänstepro- ducenten är ett personuppgiftsbiträde i register som förs av beställaren.
I detta dokument beskrivs behandlingsåtgärder som tjänsteproducenten i egenskap av person- uppgiftsbiträde utför på beställarens vägnar, typerna av personuppgifter och personuppgifter som behandlas. Detta dokument bifogas till avtalet.
I behandlingen av personuppgifter måste man följa avtalet mellan tjänsteproducenten och bestäl- laren och beställarens anvisningar.
3. Typerna av personuppgifter och grupper av registrerade
Parterna har avtalat att tjänsteproducenten på beställarens vägnar behandlar följande personupp- gifter i kundens personregister för att producera tjänsten om vilken det avtalas i avtalet.
- Tjänsteproducenten behandlar personuppgifter av klienter som beställaren har hänvisat till tjänsten.
- Personuppgifter av beställarens klient som är nödvändiga för att producera tjänsten.
4. Karaktären av och syftet med behandlingen
I avtalet behandlas uppgifter i parternas personregister om personer med grav funktionsnedsätt- ning som behöver assistans och om deras personliga assistenter. Uppgifterna som behandlas är behövliga för att kommunernas uppdrag att ordna personlig assistans kan skötas.
5. Längden på behandling av personuppgifter
Tjänsteproducenten behandlar personuppgifter som specificeras i denna bilaga under avtalspe- rioden.